gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à...
TRANSCRIPT
![Page 1: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/1.jpg)
Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à
la prise de décision. Gautier Dallons
![Page 2: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/2.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 3: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/3.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 4: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/4.jpg)
Des faits inquiétants …
![Page 5: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/5.jpg)
Des faits inquiétants …
![Page 6: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/6.jpg)
L’or immatériel : l’information
• L’information a de la valeur• Information sur un nouveau produit pour une société
concurrente (Plusieurs millions d’euros)• Information personnelle (Quelques euros à plusieurs
milliers d’euros)• Information bancaire pour un pirate (Quelques milliers
d’euros ou plus)• …
• L’impact d’une fuite d’information peut être grand• Impacts financiers• Impacts juridiques• Impacts sociaux• Impacts en terme d’image• …
Nécessité de protéger l’information importante
![Page 7: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/7.jpg)
Statistiques• +/- 40 %
d’origine interne• +/- 60 % hors
piraterie informatique
majoritairement un problème organisationnel
Source : CLUSSIF
![Page 8: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/8.jpg)
Gestion du risque, pourquoi faire?
• Avoir connaissance des risques et de leur priorité pour l’entreprise
• Maîtriser les aléas de l’entreprise et de l’environnement
• Aider à prendre des décisions en connaissance de cause
Assurer la survie et la pérennité de l’entreprise par la maîtrise des risquesGérer le court termeGérer les risques
![Page 9: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/9.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 10: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/10.jpg)
Quelques définitions
• Actif (Asset): élément du SI qui a de la valeur pour l’organisation (donnée papier/informatique, personnel, Infrastructure, …)
• Menace (Threat): évènement qui peut mettre en défaut la sécurité d’un actif
• Vulnérabilité (Vulnerability): faille du système permettant à une menace de se réaliser en impactant la sécurité d’un actif
• Risque (Risk): la probabilité qu’une menace exploite une vulnérabilité en mettant en défaut la sécurité d’un actif et provoque un impact pour l’entrepriseR = P x I Certaines variantes sont plus complexes
![Page 11: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/11.jpg)
Sécurité des actifs
• La sécurité des actifs reposent sur quatre grandes propriétés :• La confidentialité• L’intégrité• La disponibilité• La force probante (irrévocable, traçable,
authentification)
![Page 12: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/12.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 13: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/13.jpg)
Deux processus clés
• Gestion de la sécurité• Processus global de gestion• Basé sur la gestion du risque
• Gestion du risque• Processus spécifique• Fournit les éléments de décision• Intégré dans la gestion de la sécurité
![Page 14: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/14.jpg)
Gestion de la sécurité
Pla
n
Do
CheckAct
Niveau
de
sécurité
Temps
• Basé sur la roue de Demming
Gestiondu risque
![Page 15: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/15.jpg)
Gestion du risque
Objectifs de sécurité
Analysede risque
Évaluationdu risque
Traitement durisque
Monitoring
![Page 16: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/16.jpg)
Objectifs de sécurité
• Objectifs de sécurité• Basé sur les objectifs du business• La sécurité n’est pas un but en soi
T
S
O
Objectifs business
Plan de réalisation
Réalisation
Entreprise
Objectifs de sécurité
Plan de sécurité
Mesures de sécurité
Stratégique, Tactique, Opérationnel
![Page 17: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/17.jpg)
Analyse de risque
• Identifier les risques auxquels est sujet l’organisation Rendre explicite l’ensemble des aléas Partir des objectifs business et de sécurité Utiliser la connaissance du domaine Essayer d’être exhaustif Itération lors des cycles des mises à jour
• Décrire les risques Garder trace des risques Nécessaire à la gestion continue Itération lors des cycles des mises à jour
![Page 18: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/18.jpg)
Évaluation du risque
• Estimation• De la probabilité• De l’impact
• Trois grands types d’évaluation
Haut
Moyen
Bas
Méthode simplifiée(une dimension)
PxI
Impact
PTrès faible
(1)
Faible
(2)
Modéré(3)
Important(4)
Majeur(5)
Très élevé(5)
Elevée(4)
Normal(3)
Faible(2)
Méthode semi quantitativeP et I évalués séparément
Quantitative(basée sur les courbes
de probabilité) P finement évalué
![Page 19: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/19.jpg)
Traitement du risque
• Décision à prendre concernant le risque• Refus• Optimisation• Transfert• Prise de risque
• Des mesures à prendre dans le cas de l’optimisation• Prévention• Protection
• Les mesures doivent rentrer dans une stratégie globale de réduction du risque
![Page 20: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/20.jpg)
Mesures
• Rappel distinction entre moyen et fin (résultat)• La sécurité est un état du système (une fin, un résultat)• Une mesure est un moyen pouvant contribué à résultat• Le moyen en lui-même ne garantit pas le résultat
• ISO 27002 (ISO 17799)• Catalogue de mesure (moyens)• Organisée selon 11 chapitres thématiques
• 5. Politique (règlement)• 6. Organisation de la sécurité de l'information• 7. Actifs• 8. Ressources humaines• 9. Sécurité physique• 10. Communications et exploitation• 11. Gestion d'accès• 12. Acquisition, développement et maintenance• 13. Incidents de sécurité• 14. Continuité• 15. Conformité
• Se place au niveau opérationnel
TS
O
ITImpliquée
![Page 21: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/21.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 22: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/22.jpg)
Méthodes d’analyse de risque
• CRAMM• Méthode de l’OTAN• UK• Outillée
• EBIOS• Méthode française de la DCSSI• Outillée
• Octave• USA• Version spécifique pour les PMEs
• Mehari• Méthode très utilisée en Belgique
• QuickWin• Méthode du FEDICT
• …
![Page 23: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/23.jpg)
Comparatif (ENISA)
![Page 24: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/24.jpg)
Méthode QuickWin
• Avantages• Légère• Facilement compréhensible• Applicable en PMEs et comme première
approche en grandes entreprises• Méthode orientée résultat• Exploite le modèle ISMS de la norme 27001
• Inconvénients• Ne tient pas compte des probabilités• Pas outillée• Incomplète
![Page 25: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/25.jpg)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
![Page 26: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/26.jpg)
Cas d’étude
• PME ICT• Produit de conception assistée de ponts par
ordinateur pour les ingénieurs• Produit nettement supérieur à la concurrence
(leader sur le marché)• Mal documenté• Pas de sécurité en place car jeune entreprise• Travaille dans un grand garage • 5 personnes toute hautement qualifiée• 1 serveur partagé
![Page 27: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/27.jpg)
Analyse des risques
Rester leader sur le marché
Vendre le produit existant
Innover
Résultats de recherche corrompus /
volés / indisponibles
Infrastructure technique nécessaire
indisponible / corrompue
Perte des ressources humaines qualifiées
Problème de gestion
financière
Perte des ressources humaines qualifiées
Infrastructure technique nécessaire
indisponible / corrompue
Produits (code) corrompus /
indisponibles / volés
Problème de gestion
financière
![Page 28: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/28.jpg)
Évaluation du risque
• Métrique• L’entreprise
détermine les aspects à prendre en compte pour l’évaluation des conséquences
• Pour chacun des aspects une échelle de gravité de 5 niveau est déterminée
![Page 29: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/29.jpg)
Outil CAO
• Indisponibilitécritique pour le
business• Corruption
Risques humains si les calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
• Preuve La paternité du
programme est capitale (vol, …)
![Page 30: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/30.jpg)
Données financières
• Indisponibilité critique sur le long terme
pour la bonne marche de l’entreprise
• Corruption Le risque principal est
juridique (comptabilité incorrecte, …) et risques indirects
• Confidentialité Les informations
concernant les finances (paiement des clients) sont sensibles
• Preuve La comptabilité doit être
incontestable
![Page 31: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/31.jpg)
Employés
• Indisponibilité critique pour le
business car le know-how leur appartient
• Corruption Risques humains si les
calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
(vol, …)
![Page 32: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/32.jpg)
Infrastructure
• Indisponibilitécritique pour le
business car le support, le développement et la R&D sont à l’arrêt
![Page 33: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/33.jpg)
Recherches
• Indisponibilité long terme : perte de
leadership• Corruption
Risques humains si les calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
• Preuve La paternité des
inventions est capitale (vol, …)
![Page 34: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/34.jpg)
Synthèse des risques
![Page 35: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/35.jpg)
Traitement du risque
• Réduire l’impact plutôt que combattre les attaques et « patcher » les vulnérabilité
• Protection en profondeur plutôt que protection de surface Réduire les coûts de la sécurité en maximisant celle-ci
Information
Protection directe
Protection de surface
Attaque
![Page 36: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/36.jpg)
Analyse de la synthèse
![Page 37: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/37.jpg)
Mesures (1/5)
Diminution de l’indisponibilité des actifs numériques et d’infrastructure
![Page 38: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/38.jpg)
Mesures (2/5)
Diminution des risques de corruption des fichiers numériques
![Page 39: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/39.jpg)
Mesures (3/5)
Diminution des risques de divulgation des fichiers numériques depuis « l’extérieur »
![Page 40: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/40.jpg)
Mesures (4/5)
Diminution des risques d’enregistrements non probants pour l’outil et la recherche
![Page 41: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/41.jpg)
Mesures (5/5)
Diminution des risques humains
![Page 42: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/42.jpg)
Synthèse après réduction
Les risques résiduels sont devenus acceptables
![Page 43: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/43.jpg)
Monitoring
• Mise en place de revue des risques• Consultation d’un CERT• …
• D’indicateurs de changement• Remontée des incidents• Contrôle des accès• …
![Page 44: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/44.jpg)
Références
• Fedict (www.fedict.belgium.be/)
• ISO (http://www.iso.org/)
• ENISA (http://www.enisa.europa.eu/)
• Octave (http://www.cert.org/octave/)s
• MEHARI (http://www.clusif.asso.fr/)
• EBIOS (http://www.ssi.gouv.fr/fr/confiance/methodes.html )• Livres
• Information Security Risk Analysis (THOMAS R. PELTIER)
• Managing Information Security Risks: The OCTAVE Approach (Christopher Alberts, Audrey Dorofee)
![Page 45: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/45.jpg)
Conclusions
• La gestion des risque• Permet une prise de décision en connaissance de cause• Permet la prioritisation et le choix des investissement• Objective la perception des risques• Permet le choix d’une stratégie par rapport à un
problème• Cependant
• Les méthodes ne sont pas toujours simple• L’évaluation de la probabilité n’est pas facile• Une culture du risque est nécessaire
![Page 46: Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons](https://reader035.vdocuments.mx/reader035/viewer/2022062622/551d9dd9497959293b8e7157/html5/thumbnails/46.jpg)
Des questions, des idées …
?